おはようございます!マネジメントオフィスいまむらの今村敦剛です。
ISO42001各箇条解説シリーズ、附属書A「A.4 資源」と「A.5 影響評価」を解説します。「AIシステム影響評価」と「AIシステムのための資源」をうまく管理すると、トラブル防止や、万が一起きたときにどれだけ素早く改善(是正)できるかがわかります。
動画でも解説しています(無料・登録不要)
ISO42001 管理策A.4 AIシステムのための資源
まずは「A.4 AIシステムのための資源」の管理策について説明をします。
AIを使った製品を開発したり、AIを活用するには、データやパソコン、ソフトウェア、そして「人」が必要です。ここでは、そういった「リソース(資源)」をしっかり把握するための5つのリスク対応策(管理策)が決められています。
1つ目は「A.4.2 資源の文書化」です。 AIに関係するリソースを、「資産リスト」や「資産台帳」のような形にまとめて文書化します。なぜこんなリストを作るかというと、これをベースにして、後でリスク管理や影響評価を正確に行うためです。
2つ目は「A.4.3 データリソース」です。 AIの学習などに使うデータについて、そのデータの「出どころ」はどこか、「更新日時」はいつか、「どんな種類のデータか」といった情報をリストに記録します。
3つ目は「A.4.4 ツールリソース」です。 これは、開発や運用で使う“道具一式”のことです。アルゴリズムやデータの加工ツール、評価ツールなどが含まれます。例えば、自社のWebサイトにAIチャットボットを導入するなら、「OpenAIなどのAPI」が該当するでしょうし、プログラムやコードを管理する「GitHub(ギットハブ)」といったプラットフォームがこれに当たります。これらも文書化して台帳に載せます。
4つ目は「A.4.5 システム及びコンピューティングリソース」です。 ツールがソフトウェアだとすれば、こちらは「ハードウェア」ですね。例えば「クラウド環境」「ネットワーク」などのAIを動かすための環境です。これもリストアップが必要です。
5つ目は「A.4.6 人的資源」です。 AIを適切に管理するには、スキルを持った人材が必要です。誰がどんなスキルを持っているか、「スキルマップ」のような形で文書化します。ここでのスキルは、プログラミング技術だけでなく、「セキュリティ担当」「プライバシー担当」、あるいは「AIの倫理やガバナンスの担当」といった管理スキルも含まれるのがポイントです。
ISO42001 管理策A.5 AIシステムの影響評価
次に「A.5 AIシステムの影響評価」の管理策です。
これは、個々のAI製品が、個人や社会、特定のグループにどんな影響を与えるかをあらかじめ評価して記録に残すものです。4つの管理策があります。
1つ目は「A.5.2 影響評価プロセス」です。 単に思いつきで評価するのではなく、「誰が」「どの影響を」「どんな基準で」「どのタイミングで」評価するのかという手順やルールを明確にし、組織の標準プロセスとして定めます。
2つ目は「A.5.3 影響評価の文書化」です。 評価した情報を適切に記録し、必要に応じてユーザーに提供できる仕組みを作ります。記録をどれくらいの期間保管するか、文書に何を書くか、どうやって利害関係者に公表するかなどを決めます。
3つ目は「A.5.4 個人・集団への影響評価」です。 例えば、外部の個人や集団に、どういう影響を与えるか、不公平などが生じないかを評価し、文書化します。
4つ目は「A.5.5 社会への影響評価」です。 これは5.4の個人やグループに対する影響よりも、もっと大きな、社会に対する視点での影響です。例えば「AIによる自動化が、人間の雇用にどう影響するか」といったことも評価のポイントになります。
ケーススタディ
では、これらの管理策が、どのようにリスク対応に役立つか、例を見てみましょう。あるメーカーが、製品のキズを自動で見つける「AI画像診断システム」を開発したとします。
この開発会社はシステムのリリース前に、まず「A.5 AIシステム影響評価」を実施します。「もしこのAIシステムが不良品を見逃したら、人命への影響や大規模リコールに繋がる」という重大なリスクを予測して記録しました。
次に、このAIを安全に動かすため、「A.4 資源の文書化」の管理策を実行し、資産台帳を作ります。また「学習に使ったのは、工場特有の蛍光灯の下で撮影された画像データであることや、開発メンバーは優秀なAIプログラマーたちであるといった情報を記録して、この前提で安全に動くだろうと確認してから、開発をスタートさせました。
ところが半年後、想定外のトラブルが起きます。顧客の工場から「最近、特定の生産ラインでAIが不良品を見逃すエラーが多発している!」と連絡が入りました。 事前にA.5で「不良品見逃しは人命に関わる」と評価していたこのメーカーは、すぐに調査をしました。原因を調べるために、学習に使ったデータを確認します。すると「過去3年分の不良品画像1万枚を使用した」と記録されていました。しかし、その学習データを詳しく調べ直してみると、集めた画像が「大きく目立つキズ」ばかりに偏っており、「微細なキズ」に関する画像データが抜け落ちていたことがわかったのです。続いて箇条10の「是正処置」として、足りなかった微細なキズのデータをAIに学習させ直すだけでなく、二度と同じミスが起きないように是正をすることにつながるわけですね。
まとめ
今日のポイントを一言で言うと 「事前に人や社会への影響を評価する。そして、使ったデータやツール、開発者を記録しておく」ということですね。これによって、問題が起きる可能性を下げるとともに、万が一起きたときに被害を最小限に食い止めることができる、ということです。